La recente ordinanza n. 27189/2023 della Suprema Corte di Cassazione ha chiarito i parametri fondamentali da considerare nell’ambito della definizione delle sanzioni per violazioni della normativa in materia di dati personali, come stabilite dall’articolo 83 del Regolamento UE 2016/679 (“GDPR”). La sentenza si allinea con quanto indicato dalle Linee Guida 4/2022 (le “Linee Guida”) dell’European Data Protection Board (“EDPB”), enfatizzando la necessità di aderire ai criteri di rilevanza, effettività e proporzionalità nella definizione delle sanzioni pecuniarie. La Corte ha anche trattato questioni significative legate al caso specifico, offrendo un'interpretazione diretta delle norme del GDPR e stabilendo importanti principi giuridici. Questi principi riguardano non solo le sanzioni, ma anche aspetti procedurali in contenziosi legati ai provvedimenti dell'Autorità garante per la protezione dei dati personali, ai trattamenti transfrontalieri e al concetto di stabilimento principale – finalizzato a individuare l’autorità capofila – e all’accertamento circa la sussistenza di un trattamento eterodiretto. Breve riepilogo della vicenda Con il provvedimento 234 del 10 giugno 2021, l’Autorità garante per la protezione dei dati personali aveva sanzionato una nota società di food delivery per un importo pari a 2,6 milioni di euro per trattamento illecito di dati personali dei rider anche attraverso l’utilizzo di un algoritmo discriminatorio (per saperne di più in merito al Provvedimento, è disponibile un contributo al seguente link). La sanzione era stata irrogata tenendo altresì conto della limitata collaborazione offerta dalla società nel corso dell’istruttoria e dell’elevato numero di rider coinvolti in Italia, circa 19.000 al tempo dell’ispezione. Inoltre, il Garante aveva altresì richiesto l’adozione di misure che prevenissero e impedissero utilizzi impropri o discriminatori dei meccanismi reputazionali basati sul feedback dei clienti e dei partner commerciali. Dopo l’annullamento del provvedimento da parte del Tribunale di Milano, il quale aveva ritenuto illegittimo l’ammontare della sanzione (in particolare, si legge nella sentenza che, pur volendo “tener conto delle condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla società con riferimento al bilancio d'esercizio per l'anno 2019" (chiuso con perdite di esercizio)”, il Garante Privacy aveva “quantificato la sanzione in ragione della violazione più grave (ex art. 83, par. 5, lett. a), del GDPR) in misura pari al 7,29% del fatturato annuale mondiale dell'opponente e quindi in misura decisamente superiore al parametro del 4% menzionato dalla citata norma, e ancor maggiore rispetto alla percentuale media (0,0019%) applicata dal medesimo Garante ad altri soggetti sanzionati”), il Garante Privacy proponeva ricorso in Cassazione[1]. I parametri della Corte di Cassazione per la determinazione delle sanzioni Nell’accogliere i primi due motivi del ricorso presentato dal Garante Privacy, la Corte di Cassazione parte dall’assunto che la violazione era stata correttamente ricondotta alle previsioni di cui all’articolo 83, paragrafo 5, lettera a) del GDPR (“In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore: a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9”), anche da parte del Tribunale di Milano, il quale, tuttavia, aveva ritenuto la sanzione quantificata eccessivamente onerosa poiché stabilita in misura pari al 7,29% del fatturato annuo mondiale, superando così il limite del 4%. La Corte arriva così ad affermare che l’articolo 83 del GDPR disciplina le condizioni generali per infliggere sanzioni ma tale regola deve essere poi valutata in ragione della rilevanza del caso singolo; così facendo le competenti autorità di controllo possono determinare sanzioni pecuniarie che siano “in ogni singolo caso” effettive, proporzionate e dissuasive, tenendo altresì conto degli specifici elementi dettati proprio dall’articolo 83 del GDPR e finalizzati a limitare la discrezionalità delle autorità nella determinazione delle sanzioni. Passando poi al tema dell’asserita illegittimità della sanzione per violazione del limite edittale, la Corte di Cassazione esprime un secondo principio rilevante. L’articolo 83 del GDPR, spiega la Cassazione, prevede due regole di base per la determinazione della sanzione: il paragrafo 4 (per le violazioni ivi previste, “sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore”) e il paragrafo 5 (per le violazioni ivi previste, “sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore”) che prevedono, come riportato, due tipologie di sanzioni pecuniarie. Le due tipologie di sanzioni, afferma la Cassazione, sono “alternative, l’una principale, stabilita in valore variabile tra un minimo e un massimo, l'altra, subordinata, stabilita in valore proporzionale all'ammontare del fatturato annuo”. Il valore, quindi, della percentuale del fatturato mondiale annuo costituisce un riferimento proporzionale che non ha funzione mitigatoria del limite edittale ma opera come ulteriore limite al limite edittale “ordinario” (20.000.000,00 EUR). E questo, sempre secondo la Cassazione, si trarrebbe dalla locuzione finale della norma (“se superiore“), che è riferita alla sanzione pecuniaria “numerica”. Ne deriva, pertanto, che nell’ambito della determinazione di eventuali sanzioni pecuniarie per violazioni della normativa in materia di protezione dei dati personali, occorre tenere a mente che la sanzione massima prevista dalla legge per le imprese non è fino a un massimo del 4% (o del 2%, in ragione della violazione) del fatturato mondiale totale annuo ma ben può essere superiore a tale limite purché non venga superata la soglia “numerica” di 20 milioni di euro (o 10 milioni, in ragione della violazione). Infine, la Cassazione accoglie anche il terzo motivo del ricorso presentato dal Garante Privacy e fornisce specifici chiarimenti di natura processuale, determinati da un’interpretazione coordinata e coerente dell’articolo 10 del D.lgs. 150/2011 (relativo alle controversie in materia di protezione dei dati personali) e dell’articolo 166 del Codice Privacy. Pur non rinvenendo, infatti, nell’articolo 10 del menzionato decreto uno specifico riferimento alla potestà del tribunale di rideterminare il trattamento sanzionatorio per il caso di opposizione alla sanzione irrogata, la norma necessita di essere coordinata con l’articolo 166 del Codice Privacy. Ne deriva che “con la sentenza che accoglie l'opposizione il giudice, anche nelle controversie in materia di dati personali, può annullare in tutto o in parte l'ordinanza o modificarla anche limitatamente all'entità della sanzione dovuta, che è determinata in una misura in ogni caso non inferiore al minimo edittale”. Gli ulteriori profili esaminati dalla Cassazione: trattamento transfrontaliero e trattamento eterodiretto La sentenza in esame è di interesse anche in ragione degli ulteriori due principi che la Corte di Cassazione afferma nel rigettare i tre motivi del ricorso presentati dalla società. In particolare, la Corte si sofferma sui temi dei trattamenti transfrontalieri e di eterodirezione del trattamento, al fine di identificare l’autorità capofila, la quale, ai sensi del GDPR, ha la competenza per irrogare le sanzioni amministrative di cui all’articolo 83 del GDPR. Nel caso in esame, infatti, la società ricorrente aveva assunto che il Garante Privacy non avesse la legittimazione ad agire nei confronti della società (ma piuttosto l’autorità del paese dove aveva sede la società controllante, in qualità di autorità capofila) proprio in quanto sussistente un trattamento transfrontaliero, ai sensi dell’articolo 56, comma 1 del GDPR. La Corte, invece, non rinviene alcuna violazione degli articoli 56 e 60 del GDPR in tema di cooperazione tra le autorità di controllo in fattispecie di trattamento transfrontaliero. Per arrivare ad affermare ciò, il ragionamento parte proprio dalla definizione di “trattamento transfrontaliero” fornita dall’articolo 4, n. 23 del GDPR[2], connessa, a sua volta, alla definizione di “stabilimento principale” fornita dall’articolo 4, n. 16[3], per arrivare ad affermare che “affinché un trattamento sia qualificato come "transfrontaliero" è necessario che lo stesso sia posto in essere da un medesimo titolare "nell'ambito delle attività di stabilimenti in più di uno Stato membro". La Corte precisa, quindi, che per arrivare a determinare se ci sia stato un trattamento transfrontaliero – posto in essere da un medesimo titolare nell’ambito di stabilimenti in più di uno Stato membro – occorre effettuare un accertamento di merito che implica apprezzamenti di fatto in ordine alle modalità e alle caratteristiche di trattamento. Allo stesso modo, per comprendere se ci sia stato un trattamento eterodiretto da una capogruppo estera occorre effettuare un accertamento di merito relativamente alla titolarità del trattamento, anche al fine di determinare lo stabilimento principale. La Corte afferma così gli ultimi due principi della sentenza in esame: Conclusioni Con l’ordinanza in esame, la Corte fissa alcuni principi in materia di sanzioni privacy contribuendo a fare chiarezza rispetto a un tema di assoluta rilevanza per le imprese e per la definizione delle loro politiche di compliance in materia di protezione dei dati personali. Il principio secondo il quale la sanzione massima che può essere inflitta a una società per una determinata violazione in materia ben può essere superiore al limite della percentuale del 4% purché non venga superata la soglia “numerica” di 20 milioni di euro, letto congiuntamente alle disposizioni delle Linee Guida dell’EDPB e, nel dettaglio, alla tabella allegata alle Linee Guida destinata a fornire indicazioni numeriche sull'eventuale determinazione degli importi delle sanzioni, può costituire uno elemento utile per consentire ai titolari del trattamento di effettuare opportune valutazioni – almeno in termini economici - dell'impatto e dei rischi legati a possibili violazioni della normativa sulla protezione dei dati. [1] Cass. civ., Sez. I, Ord. 22/09/2023, n. 27189): I. - Il Garante svolge nel ricorso principale i seguenti tre motivi: (i) violazione o falsa applicazione degli artt. 83 del GDPR e 166 del codice privacy in ordine alla affermata eccessività della sanzione, essendo stata invece, la sanzione, irrogata nella misura consentita dal parametro edittale applicabile, tenuto conto degli elementi valutativi al riguardo dettati dall'art. 83 citato; (ii) omesso esame di fatto decisivo con riferimento al metodo di calcolo della sanzione stessa; (iii) violazione o falsa applicazione degli artt. 6 e 10 del D.Lgs. n. 150 del 2011 e 166 del codice privacy, essendo in ogni caso il giudice tenuto, anche in materia di dati personali, a quantificare la sanzione secondo le (ritenute) previsioni di legge, ed eventualmente a rideterminarla in base alla effettiva gravità dei fatti. II. - Nel controricorso la società formula a sua volta i seguenti tre motivi di ricorso incidentale condizionato: (i) violazione o falsa applicazione degli artt. 56 e 60 del GDPR in tema di trattamento transfrontaliero di dati personali, essendo da escludere la legittimazione e la competenza dell'Autorità nazionale a fronte di quella della cd. capofila, competente in rapporto alla sede dello stabilimento principale; (ii) omesso esame di fatti decisivi a proposito del funzionamento della cd. piattaforma Glovo, attraverso la quale erano stati (e sono) trattati i dati personali dei rider;(iii) omesso esame di fatti decisivi a proposito del procedimento parallelo azionato dall'Autorità competente spagnola (AEPD) in ragione della stessa ipotetica violazione. [2] Articolo 4, numero 23 del GDPR: ““trattamento transfrontaliero”: a) trattamento di dati personali che ha luogo nell'ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell'Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure b) trattamento di dati personali che ha luogo nell'ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell'Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro”. [3] Articolo 4, numero 16 del GDPR: “”stabilimento principale”: a) per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell'Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell'Unione e che quest'ultimo stabilimento abbia facoltà di ordinare l'esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale; b) con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell'Unione o, se il responsabile del trattamento non ha un'amministrazione centrale nell'Unione, lo stabilimento del responsabile del trattamento nell'Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento”.E rispetto alle Linee Guida dell’EDPB?
Lo scorso 24 maggio 2023, l’EDPB ha definitivamente adottato le Linee Guida 4/2022 che forniscono una base lineare, chiara e trasparente per il calcolo delle sanzioni per le violazioni del GDPR.
Per non volendosi soffermare nel dettaglio circa il contenuto delle Linee Guida (di cui si è parlato in modo approfondito con il contributo disponibile al seguente link), si può, tuttavia, sottolineare che i principi sottolineati dalla sentenza della Corte di Cassazione in esame non si discostano dalla metodologia e dalle modalità di calcolo delle sanzioni indicate dalle stesse Linee Guida.
La quantificazione dell'importo della sanzione si basa, infatti, su una valutazione specifica effettuata in ciascun caso, all'interno dei parametri previsti dal GDPR, tenendo altresì in considerazione il fatturato dell’impresa, da valutarsi quale elemento per imporre una sanzione che sia effettiva, proporzionata e dissuasiva, ai sensi dell’articolo 83, paragrafo 1 del GDPR.
Inoltre, come riconosciuto dalle Linee Guida (e, in particolare dal capitolo 6 “Legal maximum and corporate liability”) risulta essenziale comprendere le nozioni sia di “impresa” sia di “fatturato” al fine di individuare correttamente il fatturato dell’impresa per calcolare l’importo “dinamico” del massimo edittale. L’importanza di tali aspetti è facilmente comprensibile quando la sanzione deve essere comminata a società che fanno parte di gruppi imprenditoriali e la base di calcolo deve essere individuata nel fatturato della singola impresa quanto piuttosto nel fatturato del gruppo.
E in questo ambito assumono maggiore rilevanza i criteri di effettività, proporzionalità e dissuasività delle sanzioni richiesti dal GDPR. Dall’analisi di importanti provvedimenti del Garante Privacy è, infatti, possibile notare come tali aspetti siano stati opportunamente valutati dall’Autorità nell’ambito della determinazione dell’importo delle sanzioni, la quale ha affermato che “in una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa e in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, occorre valutare prudentemente i suindicati vari criteri, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della società”.